coso

COSO内部控制框架

COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示.

组成关系

1. 控制环境

控制环境是所有其他组成要素的基础，包括了以下要素：

1) 诚信和道德价值观；

2) 致力于提高员工工作能力及促进员工职业发展的承诺；

3) 董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性；

4) 管理层的理念和经营风格；

5) 组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程；

6) 权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了以下几点：

a) 被激励主动发现问题并解决问题以及被授予权限的程度；

b) 也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策；

c) 确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。

7) 人力资源政策及程序。

2. 风险评估

首先，风险评估的前提条件是设立目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素，但它是内部控制得以实施的先决条件。

其次，识别与上述目标相关的风险。

再次，评估上述被识别风险的后果和可能性。一旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。

最后，针对风险的结果，考虑适当的控制活动。

3. 控制活动

控制活动指为确保管理层指示得以执行，削弱风险的政策（做什么）和程序（如何做）。它们有助于保证采取必要措施来管理风险以实现企业目标。控制活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动，如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等。

4. 信息与沟通

相关的信息必须以一种能使人们行使各自职能的形式和时限被识别、掌握和沟通。信息系统不仅处理内部资料，而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。有效的交流还必须广泛的进行，涉及机构的各个方面。所有人员都要从高级管理层获得清楚的信息，他们必须明白各自在内部控制制度中的作用，明白个人的行为如何与他人的工作相联系。他们必须有自下而上传递重要信息的方法。顾客、供应商、监管者和股东这样的外界之间也必须有有效的沟通。

5. 监督

一个评估系统在一定时期运行质量的过程。这一过程通过持续的监控行为、独立的评估或两者的结合来实现。持续的监控行为发生在经营的过程中。它包括日常管理和监管行为。独立评估的范围和频率主要依赖于风险评估和持续监控程序的有效性。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。

COSO内部控制模型作用

1、强调“软控制”的功能。相对于以前的内部控制而言，框架更加强调那些属于管理文化层面的软性管理因素。

2、强调内部控制应与企业的经营管理过程相结合。框架认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。内部控制是企业经营管理过程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。不过，内部控制只是管理的一种工具，并不能取代管理。

3、突出强调信息系统的作用。框架认为，完备的信息处理系统是实现内部控制目标的重要保障，信息系统不仅处理企业内部产生的经营信息，而且也处理来自企业外部的各类经济、法律或行政信息。

4、明确对内部控制的“责任”。COSO框架第一次明确地阐述了内部

控制的制定与实施的责任问题。框架指出，不仅仅是董事会、管理人员、

内部审计人员，组织中的每一个人都对内部控制环节负有责任。

5、强调内部控制的分类和目标。目标的设定虽然不是内部控制的组

成要素，但却是内部控制的先决条件，也是促成内部控制的要件。框架将

内部控制目标分为三类：与营运有关的目标、与财务报告有关的目标以及

与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标，有

利于不同的人从不同的视角关注企业内部控制的不同方面。

6、内部控制只能做到“合理”保证。框架认为：不论设计及执行有

多么完善完整，内部控制都只能为管理阶层及股东达成企业经营目标提供

合理保证。而目标最终是否达成，还受内部控制本身的限制性制约等条件。

COSO内部控制框架是一个较为理想的框架，几乎所有公司的内部控制

均与之有一定差距，虽然这必然加大企业负担，但多数公司希望通过理解

和贯彻COSO内部控制框架要求，梳理管理流程、规范管理，来实现提升整体管理水平的目的。

COSO框架下的内部控制设计

以COSO内部控制框架为标准的内控设计一般步骤如下：

1. 确认所要进行的内控设计针对的内控目标是什么。

2. 根据确认的内控目标，识别公司层面的内外部主要风险并进行评估。

3. 通过业务流程的全面梳理，锁定与确认的内控目标相关的业务流程。

4. 按照COSO框架提出的控制标准，对确认的主要风险提出控制要求，将梳理得出的业务流程（风险控制活动）与控制要求进行对比分析，提出

整改建议。

5. 对所确定的业务流程进行分析，分析确认业务活动中存在的风险，提出整改建议。

6. 各项制度规章的完善和补充。

下面我们对于风险评估、控制活动具体设计的内容再作进一步的说明：风险评估实施过程说明

1. 识别风险。风险识别包括了二个层次，企业层面的风险和业务活动的风险。识别风险的具体方法有头脑风暴法、访谈、调查问卷、流程图分析、参考其他的风险数据库、经验与专业判断。

2. 评估上述识别出的风险的后果和可能性。

3. 描述公司流程。

1) 制定公司流程总目录和流程描述的规范；

2) 流程具体描述。

4. 识别与风险相关的应对流程的风险，并建立风险数据库

5. 根据上述风险评估的结果，建立持续的风险评估制度体系

控制活动设计实施说明

1. 以COSO控制框架、公司管理制度、控制理论为依据，在公司层面上确定“关键控制点和控制要点”。

2. 以公司层面“关键控制点和控制要点”为基础，对应识别的重要风险建立关键控制文档。

3. 关键控制与相关管理制度之间的比对分析。

对于企业而言控制是直接融入管理流程中的。在具体控制活动设计和改进时应遵循以下具体内部控制设计原则:

1. 相互牵制原则

相互牵制原则，是指一项完整的经济业务活动，必须分配给具有互相制约关系的两个或两个以上的部门（或岗位）分别完成。即在横向关系上，至少要由彼此独立的两个部门或人员办理，以使该部门或人员的工作接受另一个部门或人员的检查和制约；在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。其理论根据是在相互牵制的关系下，几个人发生同一错弊而不被发现的概率，是每个人发生该项错弊的概率的连乘积，因而将降低误差率。不相容职务相互分离控制有以下几项内容：

* 授权批准职务与执行业务职务相分离；

* 执行业务职务与监督审核职务相分离；

* 执行业务职务与会计记录职务相分离；

* 财产保管职务与会计记录职务相分离；

* 执行业务职务与财产保管职务相分离。

2. 授权控制原则

授权控制原则，是指企业单位应该根据各岗位业务性质和人员要求，相应地赋予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。岗位工作程式化，要求做到事事有人管，人人有专职，办事有标准，工作有检查。授权体系包括：

1) 授权批准的范围

企业所有的经营活动一般都应当纳入授权批准的范围。

2) 授权层次

授权应当是区别不同情况分层次授权。根据经济活动的重要性水平和金额大小确定不同的授权批准层次，有利于保证各种管理层和有关人员有权有责。

授权批准在层次上应当考虑连续性，要将可能发生的情况全面纳入授权批准体系，避免出现真空地带。当然，应当允许根据具体情况的变化，不断对有关制度进行修正。

3) 授权责任

被授权者应能够明确在履行权力时应对哪些方面负责，避免授权责任不清，出现问题又难咎其责的情况发生。

4) 授权批准程序

企业的经济业务既涉及企业与外单位之间资产与劳务的交换，也包括在企业内部资产和劳务的转移和使用。因此，每类经济业务都会有一系列内部相互联系的流转程序。所以，应规定每一类经济业务的审批程序，以便按程序办理审批，避免越级审批和违规审批的情况发生。

3. 成本效益原则

贯彻成本效益原则，即要求在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例，实行内部控制所花费的代价不能超过由此而获得的效益，否则应舍弃该控制措施。

4. 整体结构原则

企业内部控制系统，必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素，并覆盖各项业务和部门。换言之，各项控制要素、各业务循环或部门的子控制系统，必须有机构成企业内部控制的整体架构。这就要求，各子系统的具体控制目标，必须对应整体控制系统的一般目标。

COSO内部控制基本原则

《美国萨班斯—奥克斯利法案（Sarbanes-Oxley Act）》（简称SOX）要求上市公司，无论大的还是小的，每年对财务报表内部控制的有效性进行评估和报告。幸运的是，公司可以依赖一个行业标准——内部控制集成框架，来评估和改进其内控体系。

全国反欺诈财务报告（特雷得维）委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission，简称COSO）于1992年颁布的这一框架，长期以来作为建立旨在提高效率、降低风险、帮助保证财务状况报表可信性、遵从法律法规的内部控制的蓝本。由于其全面性、有效性和普遍原则，框架受到世界上很多组织的称赞并被接受。

框架颁布之后，财务报表、公司治理和法律环境发生了很多变化。萨班斯—奥克斯利法案404条款（SOX 404）是公司财务报表内部控制的主要推动。

COSO的报告概括了与5个组成部分相关的26条基本原则，5个组成部分是：（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监督。